Este es un nuevo capítulo de mis revelaciones responsables a entidades que accidentalmente han dejado datos desprotegidos expuestos en la nube por “error”.
Hace unos días, vi que este servidor estaba expuesto sin seguridad. Por ello, lo investigué y, para mi sorpresa, contenía solo 121.981 archivos, incluyendo imágenes, archivos DOCX y PDF. La mayoría de estos archivos contenían datos de salud confidenciales.
Se identificaron las siguientes empresas:
 |
| sitio web del instituto acqua |
ACQUA: El Instituto Acqua es una Organización Social (OS) sin fines de lucro con sede en Santo André, São Paulo, Brasil. Fundado en 1999, se dedica a la gestión de proyectos en áreas como salud, educación, medio ambiente, cultura, deporte y desarrollo social. Gestiona unidades de salud públicas y privadas, como hospitales y centros especializados, con certificaciones de calidad (ONA).
Los archivos contenían, como dije, datos sanitarios sensibles de los hospitales:
Hospital Regional Da Costa Leste Magid Thomé, gestionado por la institución ACQUA, según su sitio web.
Por eso contacté primero con el Instituto Acqua enviándoles un correo electrónico informándoles sobre su servidor expuesto, el 15 de julio. A las pocas horas, lo bloquearon. Sin embargo, insistí, ya que algunas rutas no estaban totalmente bloqueadas el 16 de julio, y al final lo conseguí, ya que ahora no están disponibles. Estos correos electrónicos también se enviaron al centro de incidentes de seguridad brasileño adjunto. Ni el instituto ni el centro me dieron respuesta.
Intenté comunicarme con la ANPD (Autoridad Nacional de Protección de Datos) vía correo electrónico para ver cómo manejan estos casos, y una de mis preguntas fue la siguiente:
En Brasil, ¿la protección de datos exige que un informe sea presentado únicamente por los propietarios del servidor o por cualquier persona, pero tiene que ser un ciudadano brasileño? Sin embargo, me quedé sin respuesta, ya que mis dudas persisten porque no recibí respuesta.
Así que decidí buscar un experto en protección de datos, hasta que encontré a Maria Trevisani Vespa, quien pudo guiarme, asesorarme y responder a mis preguntas sobre protección de datos en Brasil:
La experta nos explicó que, con base en la descripción de los hechos, esto se consideraría un incidente de seguridad que, por las características y los datos involucrados, el responsable del tratamiento de datos debe notificarlo a la ANPD (Agencia Nacional de Protección de Datos), de acuerdo con la legislación brasileña.
El responsable del tratamiento de datos habrá informado a la ANPD no lo sabemos…..
¿QUÉ DATOS FUERON EXPUESTOS?
 |
Este índex of ha estado abierto desde enero de este año, ya sea por una actualización o simplemente por una configuración deficiente de las copias de seguridad, pero sabemos que estos archivos no deberían estar expuestos públicamente.
Algunos de los archivos eran correos electrónicos del Instituto ACQUA. Como puede ver a continuación, un paciente recibió el alta hospitalaria por una herida de bala y fue derivado con citas y un médico. Este archivo de correo electrónico no debería haberse expuesto públicamente, pero lo fue.
 |
| Un archivo de un correo electrónico del Instituto ACQUA |
Un archivo PDF muestra los datos del paciente: nombre, madre, fecha de nacimiento, identificación del sistema SUS, médico tratante, edad, acuerdo, orden, entrada, salida y, en este caso, su examen de orina.
 |
| Expediente de un paciente que muestra sus datos expuestos más su prueba de orina |
Había imágenes que parecían tomadas con teléfonos porque estaban un poco torcidas. Si observa la imagen, muestra una lista de pacientes transferidos a otro hospital. Solo aparece el nombre del paciente transferido al Hospital Santa Casa Campo Grande.
 |
| archivo que muestra las transferencias de pacientes |
☕Puedes donar algún café: https://buymeacoffee.com/chum1ng0
.png)
